Se sospecha que los atacantes de habla china utilizan dispositivos VPN de SonicWall comprometidos como vector de acceso inicial para implementar un exploit de VMware ESXi que puede haberse desarrollado en febrero de 2024.
La empresa de ciberseguridad Huntress, que observó la actividad en diciembre de 2025 y la detuvo antes de que pudiera llegar a su etapa final, dijo que pudo haber desencadenado un ataque de ransomware.
En particular, este ataque explota tres vulnerabilidades de VMware que Broadcom reveló como de día cero en marzo de 2025: CVE-2025-22224 (puntuación CVSS: 9,3), CVE-2025-22225 (puntuación CVSS: 8,2) y CVE-2025-22226 (puntuación CVSS: 7,1). mal usado. La explotación exitosa de este problema podría permitir que un atacante malintencionado con privilegios administrativos pierda memoria de un proceso ejecutable de máquina virtual (VMX) o ejecute código como el proceso VMX.
Ese mismo mes, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó la falla a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), citando evidencia de explotación activa.
Los investigadores Anna Pham y Matt Anderson dijeron: «El conjunto de herramientas analizado (…) también contiene cadenas de chino simplificado en su ruta de desarrollo, incluida una carpeta llamada ‘Full Version Book Escape–Delivery’ (traducción: ‘Full Version Escape-Delivery’) y VMw. «Hay evidencia que sugiere que pudo haber sido construido como un exploit de día cero más de un año antes de la publicación, lo que apunta a un desarrollador con buenos recursos que probablemente opera en una región de habla china», dijeron los investigadores Anna Pham y Matt Anderson.
La compañía agregó que la evaluación de que el kit de herramientas arma tres deficiencias de VMware se basa en el comportamiento del exploit, el uso del sistema de archivos invitado del host (HGFS) para la fuga de información, el uso de la interfaz de comunicación de la máquina virtual (VMCI) para la corrupción de la memoria y el código shell que se escapa al kernel.
El kit de herramientas incluye varios componentes, siendo el principal ‘exploit.exe’ (también conocido como MAESTRO), que actúa como un orquestador de escape entre máquinas virtuales (VM) mediante el uso de los siguientes archivos binarios integrados:
devcon.exe, un controlador del kernel sin firmar que contiene un exploit que se carga en la memoria del kernel mediante una herramienta de código abierto llamada MyDriver.sys, Kernel Driver Utility (KDU), que desactiva el controlador VMCI del lado invitado de VMware. Luego se monitorea el estado del exploit y se vuelve a habilitar el controlador VMCI.
Flujo de explotación de VM Escape
La función principal del controlador es identificar la versión exacta de ESXi que se ejecuta en el host, activar los exploits CVE-2025-22226 y CVE-2025-22224 y, en última instancia, permitir que un atacante escriba tres cargas útiles directamente en la memoria del VMX.
Etapa 1 Shellcode, prepara el entorno para el escape de la zona de pruebas de VMX Etapa 2 Shellcode, establece un punto de apoyo en el host ESXi VSOCKpuppet, puerta trasera ELF de 64 bits que proporciona acceso remoto persistente al host ESXi y se comunica a través del puerto VSOCK (Virtual Sockets) 10000
«Después de escribir la carga útil, el exploit sobrescribe el puntero de función en VMX», explicó Huntress. «Primero guarda el valor del puntero original y lo sobrescribe con la dirección del código shell. Luego, el exploit envía un mensaje VMCI al host para activar VMX».
Protocolo de comunicación VSOCK entre client.exe y VSOCKpuppet
«Cuando VMX procesa el mensaje, sigue el puntero corrupto y salta al código shell del atacante en lugar del código legítimo. Este paso final corresponde a CVE-2025-22225, que VMware describe como una ‘vulnerabilidad de escritura arbitraria’ que permite ‘escapar de la zona de pruebas'».
Debido a que VSOCK proporciona una ruta de comunicación directa entre la VM invitada y el hipervisor, se ha descubierto que los atacantes utilizan «client.exe» (también conocido como complemento GetShell) disponible desde la VM invitada de Windows en el host comprometido para enviar comandos de vuelta al ESXi comprometido e interactuar con la puerta trasera. La ruta PDB incrustada en el binario indica que es posible que se haya desarrollado en noviembre de 2023.
El cliente admite la descarga de archivos desde ESXi a una VM, la carga de archivos desde una VM a ESXi y la capacidad de ejecutar comandos de shell en el hipervisor. Curiosamente, el complemento GetShell se coloca en la máquina virtual de Windows en forma de archivo ZIP (‘Binary.zip’). También incluye un archivo README con instrucciones de uso y proporciona información sobre sus capacidades de transferencia de archivos y ejecución de comandos.
Actualmente no está claro quién está detrás de este conjunto de herramientas, pero el uso del chino simplificado y la sofisticación de la cadena de ataque, así como la explotación de una vulnerabilidad de día cero varios meses antes de su publicación, probablemente apuntan a Huntress como un desarrollador rico en recursos que opera en el mundo de habla china.
«Esta intrusión demuestra una cadena de ataque sofisticada de varias etapas destinada a evadir el aislamiento de la máquina virtual y comprometer el hipervisor ESXi subyacente», añadió la compañía. «Al encadenar la divulgación de información, la corrupción de la memoria y el escape de la zona de pruebas, los atacantes lograron lo que todo administrador de VM teme: control completo del hipervisor desde dentro de la VM invitada».
«El uso de VSOCK en comunicaciones de puerta trasera es particularmente preocupante. Evita por completo el monitoreo de red tradicional, lo que dificulta significativamente la detección. Además, el conjunto de herramientas prioriza el sigilo sobre la persistencia».
Source link
